Zurück zur Übersicht

Begriff

Docker Security Scanning

Containerization Security S2
3 Quellen 1 Lernpfad 0 Backlinks enriched

Warum wichtig?

Dieser Begriff ist ein Knoten im SengakujiWorks-Wissensnetz. Nutze Level 0 für die erste Einordnung, Level 1 für Praxis, Level 2 für technische Struktur und Level 3 für Grenzen, Fallstricke und Expertenkontext.

Ein Docker Image ist wie ein Rucksack. Du packst alles rein, was deine App braucht (Ubuntu, Python, Libraries). Aber was, wenn du aus Versehen eine kaputte Bibliothek einpackst, von der jeder Hacker weiß ("Log4j Lücke")? Docker Security Scanning ist wie der Scanner am Flughafen. Er durchleuchtet deinen Rucksack (Image), bevor er ins Flugzeug (Server) darf. Er schaut in jede Datei und jede Bibliothek. Er vergleicht das Gefundene mit einer Polizeidatenbank (CVE-Liste). Wenn er eine Bombe findet, sagt er: "Alarm! CVE-2021-44228 gefunden. Bitte austauschen."

Merksatz: Der automatisierte Prozess des Analysierens von Container-Images auf bekannte Sicherheitslücken (CVEs), Malware und Fehlkonfigurationen, oft integriert in CI/CD-Pipelines.


Quick-Check

  1. Wann sollte ich scannen?
    Immer in der CI-Pipeline ("Shift Left"). Wenn der Scan rot ist, darf das Image gar nicht erst in die Registry gepusht werden. Spätestens aber in der Registry (täglicher Cronjob), weil heute eine neue Lücke für ein altes Image bekannt werden kann.
  2. Was ist SBOM?
    Software Bill of Materials. Eine Zutatenliste für Software. Scanner erzeugen oft eine SBOM ("Das ist alles drin"). Das ist die Basis für Compliance.
  3. Scannt es meinen Code?
    Jein. Image Scanner fokussieren sich auf OS-Pakete und Libraries (Dependencies). Für deinen eigenen Code (Logikfehler, SQL Injection) brauchst du SAST (Static Application Security Testing) wie SonarQube, nicht Trivy.